HIT 2017 - ASIP Santé - Matinée CPS

258 vues

Publié le

Matinée CPS
Carte CPS et certificats logiciels IGC Santé : comment les intégrer facilement à vos logiciels ?
> Enjeux (référentiel d'authentification de la PGSSI-S, ...)
> Mise en pratique
> Retours d'expérience du Hackathon CPS organisé par le SILPC avec les étudiants de l'université de Limoges
> Questions/réponses (migration IGC, mobilité,...)
Matinée animée par David DECROIX et son équipe, experts en IGC, cryptographie, carte à puce et poste de travail - ASIP Santé

Publié dans : Santé & Médecine
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

HIT 2017 - ASIP Santé - Matinée CPS

  1. 1. Carte CPS et certificats logiciels IGC-Santé : comment les intégrer facilement à vos logiciels ? Paris Healthcare Week 2017 – 16/05/2017
  2. 2. 2 1. Panorama des fonctionnalités et usages des cartes CPS et certificats logiciels 20 minutes 2. Retours d'expérience du Hackathon CPS organisé par le SILPC 25 minutes 3. Exemple de mise en pratique : authentification par CPS sur un service en ligne 15 minutes 4. Questions / Réponses Déroulement
  3. 3. 3 Intervenants Equipe PSCE Pôle Urbanisation et Services de Confiance Patrice BOISSEUIL Dir. Technique Pôle Sécurité, Urbanisation & Hébergement Etudiants Master CRYPTIS « Sécurité informatique et cryptologie »
  4. 4. 4 Panorama des fonctionnalités et usages des cartes CPS et des certificats logiciels
  5. 5. Eléments de contexte Protection des données de santé à caractère personnel :  Politique générale de sécurité des systèmes d’information de santé (PGSSI-S)  Référentiel d’authentification des acteurs de santé  Carte CPS : dispositif d’authentification forte adapté à l’ensemble des paliers du référentiel d’authentification; La carte CPS est également un titre fondateur permettant la mise en place de dispositifs d’authentification alternatifs (ex: enrôlement d’un terminal de type smartphone ou tablette par carte CPS).  Certificats logiciels (de personne physique et de personne morale) émis par l’IGC Santé Plus d’un millions de cartes de la famille CPS en circulation. 5
  6. 6. Fonctionnalités offertes par la carte CPS 6 En mode contact : • Authentification forte • Signature électronique • Lecture de données métier • Ecriture de jeton En mode sans-contact : • Identification • Authentification du support • Lecture de jeton Pas de données nominatives accessibles en sans-contact :  Enrôlement à réaliser Pour quels usages ? • Feuille de soins électronique • Télé-services de santé • Sécurisation du SI de structures du domaine de la santé Pour quels usages ? • Contrôle d’accès physique • Contrôle d’accès logique • Multi-service : badge de cantine, pointeuse, …
  7. 7. CSP Interface standard Windows Première modalité d’intégration : la Cryptolib CPS 7 Windows Mac OS Internet Explorer Chrome Firefox Chrome Safari PKCS #11 Interface standard tous OS Tokend Interface standard Mac OS ou Lecteur SESAM Vitale Lecteur PC/SC (préconisé) Cryptolib CPS L’intégration dans les logiciels métiers s’effectue par la mise en œuvre de ces mêmes interfaces standards.
  8. 8. Configurations compatibles Cryptolib CPS 8 Liste actualisée régulièrement, disponible à cette adresse: http://integrateurs-cps.asipsante.fr/documents/Tableau-de-compatibilité-Cryptolib-ASIP-Santé
  9. 9. Seconde modalité d’intégration : accès direct à la carte CPS 9 Pour qui ? • Editeurs de solution dans des environnements pour lesquels la Cryptolib CPS n’est pas fournie. Comment ? • Convention avec l’ASIP Santé sur demande à monserviceclient.developpement@asipsante.fr • La convention donne accès à :  Une documentation technique  Un mode de support spécifique Le contenu de la documentation technique : • Description exhaustive du volet IAS ECC de la carte : structure de fichiers – contenu des fichiers • Description détaillée des commandes carte à utiliser pour la mise en œuvre des diverses fonctionnalités • La description couvre les parties contact et sans-contact
  10. 10. Aide à l’intégration : un référentiel documentaire riche 10 Accès au référentiel documentaire : http://integrateurs-cps.asipsante.fr/documentation_technique
  11. 11. Exemple d’usage en multi-services au CHU d’Angers 11 Contrôle d’accès Système Information Hospitalier (2003) Badgeage (1998) Self du personnel (2001) Self de l’internat (2014) Contrôle d’accès physique aux bâtiments (2011) Vestiaires (2016) Contrôle d’accès physique aux parkings du CHU (2013) Garages à vélos (2016) Accès à l’armoire à clefs des services du CHU et des véhicules de services (2014) Lecture et maj des cartes vitales (2014) Gestion des FSE (2016) Principe de base: Chaque personne intervenant au CHU a une carte Cpx
  12. 12. Utilisation des cartes CPx avec photo en tant que badge d’identité à l’AP-HP 12 Photo , Logo  Fonction  Dispositif anti-falsification du visuel des cartes : • Tampon en relief de « Assistance Public – Hôpitaux de Paris » . • Ce film intègre également un effet « 3D » spécifique. Les usages de la carte sont multiples : Accès aux hôpitaux • Utilisation des cartes CPx avec photo en tant que badge d’identité Accès aux SI • Simplifier, sécuriser et tracer l’accès au SI grâce à une authentification unique • Maîtriser l’accès au SI par la hiérarchie même sans compétences techniques (gestion des habilitations) • Avoir un annuaire d’entreprise complet et ergonomique Accès aux locaux • Activation des accès aux locaux sécurisés selon la période d’activité de l’agent • Parkings • Locaux sensibles Paiement des repas aux restaurants administratifs
  13. 13. Evolutions court terme de la cartes CPS Deux évolutions seront disponibles avec les cartes CPS IGC-Santé, elles visent à mieux répondre aux besoins en établissements de santé :  Amélioration du niveau de compatibilité avec les solutions terrain déployées pour les usages sans-contact (contrôle d’accès physique, badge de cantine, …)  Intégration de la technologie Mifare au niveau de la puce (Mifare Classic 1K).  Ajout d’un moyen d’identification supplémentaire sur le visuel de la carte :  Un code barre correspondant à la valeur de l’identifiant national du porteur figurera au verso de la carte, encodé en code 128 (norme NF EN 799) 13 Ces évolutions seront disponibles en production courant T3 2017
  14. 14. L’offre de certificats logiciels IGC-Santé 14 Usages : - Authentification - Signature - Chiffrement Usages : - Authentification - Signature - Chiffrement AC Racine « ELEMENTAIRE » Professionnels réglementés Personnels de structures Santé/Social Personnels de structures autorisées Personnes morales (application clientes) Serveurs (hébergés par une Personne Morale) ACI PERSONNES ACI ORGANISATIONS Certificats Logiciels
  15. 15. Modalités de commande des certificats logiciels IGC-Santé  étape technique (1/2) 15 Pour les certificats logiciels, la plateforme de service permet de gérer : 1. La Commande de certificats (demande / retrait) 2. La Révocation de certificats 3. Le Suivi Plusieurs canaux disponible : IHM, Web service et Canal Mail (interface historique dépréciée).  Portail web : https://pfc.eservices.esante.gouv.fr
  16. 16. Modalités de commande des certificats logiciels IGC-Santé  étape technique (2/2) 16 Disponibilité d’un mode totalement assisté supprimant les opérations techniques lors de la commande : • Fonctionnalité présente depuis la mise en service de la plateforme mais s’appuyant sur la technologie Java  Frein à l’usage. • Dépendance à Java supprimée depuis le 08/03/2017.
  17. 17. Migration IGC-Santé (Rappels) Plusieurs besoins d’évolution recensés :  L’IGC-CPS2bis et l’IGC-CPS2ter expirent fin 2020. Compte-tenu de la durée de validité des certificats, ces IGCs doivent arrêter d’émettre avant fin 2017.  Mise à niveau sur les plans techniques et sécuritaires. Les IGCs existantes ne sont pas conformes à l’état de l’art en ce qui concerne : • les standards internationaux de gestion des identités et des signatures/cachets électroniques. • Les mécanismes cryptographiques utilisés (taille de clés, algorithmes utilisés, …)  Modernisation des services de demande et de gestion des certificats.  Elargissement de l’offre de produits de certification. Mise en conformité de la gamme de Produits de Certification pour Personnes Morales et Personnes Physiques avec la PGSSI-S. Proposer une plus grande variété d’usages s’appuyant sur les certificats logiciels. Référentiel documentaire IGC-Santé disponible sur le site « intégrateur CPS » : • Note de présentation générale de l’IGC-Santé : http://integrateurs-cps.asipsante.fr/IGC-Sante • Note technique détaillée sur les impacts et la migration : http://integrateurs-cps.asipsante.fr/IGC-Sante-migration • Autres ressources disponibles : 17
  18. 18. Migration IGC-Santé : Planning certificats logiciels (Rappel) 18 L’ouverture de l’IGC-Santé sur le périmètre certificat logiciel est effective depuis avril 2016 : • Dès T0, il est possible de délivrer des certificats de test et de production. • A T2 : arrêt d’émission de certificats logiciels par la plateforme actuelle (IGC-CPS2bis). • Les certificats logiciels émis restent valides et utilisables jusqu’à leur expiration. • Les CRLs continuent à être fournies. Avr. 2016 Fév. 2017 Planning de la migration vers la nouvelle IGC – Certificats logiciels Ancienne IGC (IGC-2bis)  Production des certificats logiciels de l’ancienne IGC  Période de validité des certificats de l’ancienne IGC après fin d’émission Nouvelle IGC (IGC Santé)  Ouverture IGC Santé Extinction de l’IGC- 2bis T0 T2 Fin 2020 Juin 2017 T2 L’arrêt d’émission de certificats logiciels par la plateforme IGC-CPS2bis a été décalé de fin février 2017 à fin juin 2017.
  19. 19. Migration IGC-Santé : Planning certificats carte (Rappel) 19 • Depuis Février 2017 : disponibilité des carte de TEST. • Octobre 2017 : date ciblée pour l’émission terrain des première cartes CPx IGC-Santé. Fev. 2017 Oct. 2017 Planning de la migration vers la nouvelle IGC – Cartes CPx Ancienne IGC (IGC-2ter)  Production des cartes de l’ancienne IGC  Période de validité des cartes de l’ancienne IGC après fin d’émission Nouvelle IGC (IGC Santé)  Mise à disposition des cartes de TEST à destination des éditeurs et promoteurs d’applications  Emission terrain des cartes IGC-Santé vers les utilisateurs finaux Extinction de l’IGC- 2ter Fin 2020 Le déploiement des cartes IGC-Santé se fera au rythme du renouvellement naturel des cartes actuellement sur le terrain. Il n’y aura pas d’opération massive de renouvellement anticipé du parc existant pour le passage à l’IGC-Santé.
  20. 20. 20 Retour d'expérience du Hackathon CPS organisé par le SILPC
  21. 21.  Mardi 16 Mai 2017 HACKATHON 48 H POUR INNOVER ET TRANSFORMER LA SÉCURITÉ DES SYSTÈMES D'INFORMATION DE SANTÉ avec le soutien de : Avec les étudiants
  22. 22. 22  Structure de Coopératio n  Non éditeur  Intégrateur  Service public  Mutualisation  Expertises  Efficience  Hospitaliers  GIP SILPC : 5 Axes d'expertise Travaux en cours : Agrément SIAF Groupement d’Intérêt Public ( GIP ) : 255 adhérents, 130 collaborateurs, 30 ans d’existence
  23. 23. 23  L’ASINHPA et son groupe de travail SSI • ASINHPA : Association des Structures d’INformatique Hospitalières Publiques Autonomes • Le GT SSI de l’ASINHPA: • Des professionnels SSI de 5 structures publiques (Mipih, eSIS5969, Cpage, SIB, SILPC) se retrouvent régulièrement au sein du GT SSI de l'ASINHPA pour échanger sur les expériences et déclinaisons de la SSI en établissement de Santé. • Le GT est présent notamment dans les travaux associés à la PGSSI Santé
  24. 24. 24  GIP SILPC et ses adhérents : Nos usages CPS  Ouverture de session sur son poste de travail  « Natif » Microsoft (Smart Card Logon)  Module SSO  Accéder aux applications  « Natif » sur l’application  Module SSO (Indépendant de la CPS)  Lire la carte Vitale (composant Galss ... )  Accéder aux « téléservices » nationaux : DMP, DP, CDR, ….  Accéder aux services Web  Par configuration Service Web (Apache / IIS Autonome / IIS AD)  Web SSO (DenyAll, Lemon::NG)  Echanger par messagerie sécurisée (S/Mime GIP-CPS, MSSanté)  Signer électroniquement les documents  Gestion du temps (Badgeage)  Gestion des flux impression  Accès physique au bâtiment, Accès Archives, locaux sensibles  Parking  Self  ….. • 20 Adhérents utilisent la CPS (soit 20 000 agents  Cartes CPS) • 5 500 postes de travail Quelques Chiffres
  25. 25. 25 4 équipes présentes 4 équipes présentes  Hackathon : Mise en situation • Temps 1 – Ouverture du concours Vendredi 3 mars 2017 vers 17h00 Cartes CPS 3.3 de test Lecteurs contact Lecteurs sans contact Clé USB avec documentation spéciale Présentation institutionnelle Eléments de contexte /1 Généralités Concours/Dotations / Les données de Santé Eléments de contexte /2 USAGES Mobilité du PS et/ou du terminal Eléments de contexte /3 CADRE LMSysS – PGSSI Santé & réf. La mission Les moyens Kit – valise mission
  26. 26. 26  Hackathon : Restitution • Temps 2 : Restitution Cryptis
  27. 27. Introduction Solutions techniques Conclusion Healthcare Data Security Challenge Nicolas ARAGON Alexandre CHABROUX L´ea FROMENT-MAZET Mathieu KLINGLER Jordan TAILLEFER Universit´e de Limoges May 12, 2017
  28. 28. Introduction Solutions techniques Conclusion 1 Introduction Notre ´equipe Pr´esentation du contexte 2 Solutions techniques Mode sans contact Mobilit´e Android 3 Conclusion
  29. 29. Introduction Solutions techniques Conclusion Notre ´equipe Composition Nicolas ARAGON, Master 2 Math´ematiques Alexandre CHABROUX, Master 1 Informatique L´ea FROMENT-MAZET, Master 1 Informatique Mathieu KLINGLER, Master 1 Informatique Jordan TAILLEFER, Master 2 Informatique
  30. 30. Introduction Solutions techniques Conclusion Pr´esentation du contexte Notre mission Assurer l’authentification forte du professionnel de sant´e sur un des contextes d’usage en respectant les contraintes et r´ef´erentiels en vigueur.
  31. 31. Introduction Solutions techniques Conclusion Mode sans contact R´eseau interne R´eseau de l’´etablissement Ressources `a prot´eger Portail captif Authentification forte mˆeme en mode sans contact. Protection par le portail captif.
  32. 32. Introduction Solutions techniques Conclusion Mode sans contact Prototype Utilisation des APDUs de la carte CPS. Simulation du portail captif.
  33. 33. Introduction Solutions techniques Conclusion Mode sans contact Vid´eo !
  34. 34. Introduction Solutions techniques Conclusion Mobilit´e Mode hors connexion Traitement des informations en local. Chiffrement des donn´ees stock´ees. D´echiffrement grˆace `a la carte CPS + code PIN. Pas de portail captif, mode sans contact moins s´ecuris´e.
  35. 35. Introduction Solutions techniques Conclusion Mobilit´e D´erivation de cl´es Cl´e de recouvrement Cl´e fille 1CPS Donn´ees en cache Acc`es Chiffre Terminal
  36. 36. Introduction Solutions techniques Conclusion Android Documentation N´ecessit´e de connaitre les s´equences APDU : Documentation fournie par l’ASIP Middleware Exp´erimentation avec OpenSC
  37. 37. Introduction Solutions techniques Conclusion Android Impl´ementation Android Utilisation de l’exemple Android LoyaltyCardReader Disponible sur developer.android.com Changement des s´equences APDU
  38. 38. Introduction Solutions techniques Conclusion Conclusion ´Etude d’un cas pratique d’utilisation de la s´ecurit´e dans un domaine inconnu auparavant, la sant´e. Preuve de concept via la r´ealisation d’une application Android g´erant le mode NFC avec la carte CPS. D´ecouverte des contraintes et r´eglementations en vigueur dans le milieu m´edical. ´Echanges avec des professionnels.
  39. 39. Introduction Solutions techniques Conclusion Merci pour votre attention ! Questions ?
  40. 40. Merci de votre attention SILPCMOD:QUA-MOD-0002-0005 Pour nous contacter : Pôle Sécurité Urbanisation Hébergement Patrice Boisseuil Courriel : patrice.boisseuil@silpc.fr Tél. : 05 55 43 99 19 Université de Limoges Nicolas ARAGON Alexandre CHABROUX Lea FROMENT-MAZET Mathieu KLINGLER Jordan TAILLEFER
  41. 41. 28 Exemple de mise en pratique : authentification par CPS sur un service en ligne
  42. 42. Merci pour votre attention 29
  43. 43. 30 Annexes
  44. 44. PRO PS ou PE/PA dans une structure PS Professionnel de santé ORG Applications IGC Santé: Les certificats logiciels 31 Chiffrer des données Signer des documents dématérialisés Authentifier un utilisateur de manière forte SERV Serveurs Certificat de personne morale Certificat de personne physique AUTH_CLI AUTH AUTH SMIME SSL_SERV SIGN SIGN SIGN SIGN CONF CONF CONF CONF ROR PFLAU SERV ORG SERV DMP ORG ORG MSSanté SERV Annuaire AMC ORG Annuaire Santé Données étendues ORG DP Dossier pharmaceutique ORG PSIG ORG SERV Usages OSM Messagerie sécurisée PS/PRO

×